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(54) Process for entering authentication data onto a hardware unit 

(57) In t&Vprolcess *for. entering authentication data onto a hardware unit which contains at 
least one private key, the authentication data located outside of the hardware unit are encrypted 
outside the hardware unit by means of the public key and subsequently transmitted to the 
hardware unit. This procedure ensures maximum possible security with respect to transmission 
of authentication data. 
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@ Verfahren zum Einbringen von Authentikationsdaten auf eine Hardwareeinheit 

(57) Beim vorliegehden Verfahren zum Einbringen von Au- 
thentikationsdaten auf eine Hardwareeinheit, die wenig- 
stens einen privaten Schlussel enthalt, werden die aufcer- 
halb der Hardwareeinheit vorliegenden Authentikations- . 
daten mit dem offentlichen Schlussel auf^erhalb der Hard- 
wareeinheit verschlusselt und anschlieftend an die Hard- 
wareeinheit ubertragen. Durch diese Maf^nahmen ist eine 
' grofctmogliche Sicherheit bezuglich der Ubertragung der 
Authentikationsdaten gewahrlcistet. 
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Beschreibung 



Die Erfindung bezieht sich auf ein Verfahren zum Ein- 
bringen von Authentikalionsdaten auf eine Hardwareein- 
heit, die wenigstens einen privaten Schlussel enthalt. 5 

Zur Absicherung eines elektronischen Datenverkehrs 
wird zunehmend asymmetrische Kryptographie eingesetzt. 
Das Kennzeichen derasymmetrischen Kryptographie ist der 
Einsatz eines Schliisselpaars, bestehend aus einem gehei- 
men privaten Schliissels sowie einem offentlichen allgemein 10 
zuganglichcn Schliisscl. 

Die Schliisselpaare werden fur praktisch alle MaBnahmen 
zur Sicherung elektronischer Daten eingesetzt: Beispiele 
hierfur sind Signaturen, Integritatsschutz, Vertraulichkeit, 
Verschliisselung, Identitatsnachweis, Authentikation, Zerti- 15 
fikatproduktion, Copyrightschutz, und vieles mehr. 

Zunehmend werden die privaten Schlussel in speziellen 
Hardwareeinheiten erzeugt und sicher gespeichert. Derar- 
tige Hardwareeinheiten sind auBerdern in der Lage, Ver- 
schliisselungen oder Signaturen auszufuhren, so daB der 20 
oder die privaten Schlussel die Hardwareeinheit zu keinem 
Augenblick ihrer Lebenszeit verlassen. Weder bei der Er- 
zeugung noch bei der Speicherung noch bei der Ausfuhrung 
der kryptographischen Operationen verlaBt. der private 
Schliisscl die Hardwareeinheit. Ein Bcispicl fur cine Infra- 25 
struktur, in der solche Hardwareeinheiten zukunftig einge- 
setzt werden sollen, sind die Public-Key-Infrastrukturen im 
Rahrnen von Signaturgesetzen. Weltweit gibt es vergleich- 
bare Infrastrukturen bzw. werden solche Infrastrukturen auf- 
gebaut. Besonders verbreitet als Hardwareeinheiten sind 30 
Chipkarten mit Prozessoren oder PCMCIA-Karten. 

An den privaten Schlussel wird die Anforderung gestellt, 
daB er sicher gespeichert werden kann und bei seiner An- 
wendung zu kryptographischen Prozessen die Hardwareein- 
heit nicht verlaBt. 35 
• ^ Hardwareeinheiten bieten in der Regel einen zweifachen 
Schutzmechanismus. In der Hardwareeinheit sind der oder 
die privaten Schlussel gespeichert. Zur Verwendung des 
oder der privaten Schliisscl ist. also der physischc Bcsitz der 
Hardwareeinheit. notwendig. Der rechtmaBige Besitzer muB 40 
sich aber andererseir.s gegenuber der Hardwareeinheit als 
solcher ausweisen. In die Hardwareeinheit wird ein perso- 
nenabhangiger Datensatz eingelesen, mit dem die Hardwa- 
reeinheit die RechtmaBigke.it seines Besitzers uberpriifen 
kann. 1 45 

Hierzu kann eine PIN-Nummer vorgesehen sein. Eine ge- 
heime PIN (persbnliche Indentifizierungsnummer) wird in 
die Karte eingelesen und dem Besitzer auf vertraulichem 
Wege initgeteilt. 

Durch Eingabc der PIN weist der Benut/.er sich gegen- 50 
uber der Hardwareeinheit als berechtigt aus. 

Der Gebrauch von biometrischen Merkmalen stellt eine 
weitcre Vcrfahrcnswcise zur Verfugung. Die Hardware vcr- 
liigl uber einen Mechanismus, urn beispielsweise einen Fin- 
gerabdruck oder einen Abdruck der Augeniris abzunehmen. 55 
Das Hrgebnis des Einlesens des biometrischen Merkmals 
wird mit einem internen Datensatz verg lichen. Auf diese 
Weise wird die Berechtigung des Nutzers iiberpruft. Auch in 
diesetn Szenario sind die personenbezogenen Datensatze, 
die in die Hardwareeinheit eingelesen werden, venraulich in 6u 
die Hardwareeinheit einzubringen. 

[m folgenden werden die personenbezogenen Daten, wie 
PIN, Fingerabdruck uder Frismusler, Aulhcnlikalionsdalen 
genu nnt. 

Da der Aulhentikationsdatcnsalz der Hardwareeinheii die 65 
Hnlscheidung ermoglicht. ob ein Benutzer berechtigt ist den 
bzw. die privaten Schlussel zu nutzen, ist die vertrauliche 
Behandlung des Authenlikationsdalensatzes ein enlschei- 



dendes Kriterium fur eine sic here Nutzung der Hardware- 
einheit durch den berechtigten Benutzer oder VerbrauchetT 
Da die Erstellung des Authentikationsdatensatzes sowie die 
Herstellung der Hardwareeinheit in der Regel durch ver- 
schiedene Personen bzw. Organisationen vorgenommen 
wird, ist das Einlesen des Authentikationsdatensatzes in die 
Hardwareeinheit mit besonderer Aufmerksamkeit zu verfol- 
gen. Der Authentikationsdatensatz darf dabei nicht in die 
Hande von unerwunschten dritten Personen gelangen oder 
uberhaupt die Moglichkeit daftir vorgeben. 

Der Erfindung licgt nun die Aufgabc zugrundc, ein Vcr- 
fahren zum Einbringen von Authentikationsdaten auf eine 
Hardwareeinheit anzugeben, wobei die Hardwareeinheit 
wenigstens einen privaten Schlussel enthalt, bei dem ein Zu- 
griff von unberechtigten dritten Personen auf den Authenti- 
kationsdatensatz weitestgehend vermieden werden soli. 

Die Aufgabe wird geiost durch ein Verfahren zum Ein- 
bringen von Authentikationsdaten auf eine Hardwareein- 
heit, die wenigstens einen privaten Schlussel enthalt, wobei 
gemaB der Erfindung die auBerhalb der Hardwareeinheit 
vorliegenden Authentikationsdaten mit einem dem privaten 
Schlussel zugeordneten offentlichen Schlussel auBerhalb 
der Hardwareeinheit verschlusselt werden und anschlieBend 
an die Hardwareeinheit ubertragen werden, wo sie mit dem 
dort gcspcichcrt.cn gchcimcn Schlussel cntschliissclt wer- 
den. 

Mit dem vorliegenden erfindungsgemaBen Verfahren ist. 
ein vertrauliches Einlesen der Authentikationsdaten in die 
Hardwareeinheit gewahrleistet. Keine dritte Person hat die 
Moglichkeit, sich in den Besitz der Authentikationsdaten zu 
bringen, da der zum Entschiusseln notwendige private 
Schlussel ausschlieBlich in der Hardwareeinheit vorhanden 
ist. 

Vorzugsweise wird wenigstens einer der beiden Schlussel 
innerhalb tier Hardwareeinheit. erzeugt. Durch diese MaB- 
nahme ist eine zusatzliche Sicherheit gewahrleistet, da bei- 
spielsweise bei der Erzeugung des privaten Schlussels in- 
nerhalb der Hardwareeinheit gewahrleistet ist, daB der pri- 
vate Schlussel zu keinem Zcitpunkt auch wahrend seiner 
Benutzung auBerhalb der Hardwareeinheit vorliegt. 

Vorzugsweise kann als Hardwareeinheit. eine Chipkarte 
vorgesehen sein. Der Einsatz einer Chipkarte hat sich in der 
Praxis besonders bewahrt. 

In einer weiteren Ausgestaltung sind als Authentikalions- 
daten PLN-Numrnern vorgesehen. Die Angabe einer PIN- 
Numrner gewahrleistet einen einfachen Zugang fur eine be- 
nutzerfreundliche Hardwareeinheit. 

Insbesondere sind als Authenfikatjonsdaten biometrische 
Daten vorgesehen. Biometrische Daten erweisen sich in die- 
seni Zusammenhang als besonders falschungssicher. AuBer- 
dern ist eine eindeutige Identifizierung des Benutzers der 
Hardwarecinheit mil Hi He von biometrischen Daten ge- 
wahrleistet. 

Vorzugsweise kann mil den Authentikationsdaten zu- 
gleich ein Zertilikat ubertragen werden. Das Zertifikat beur- 
kundet, daB der private Schlussel latsachlich dem Benutzer 
der entsprechenden i lardwareeinheit. zuzuordnen ist. 

Bei einer weiteren Ausgestaltung der Erfindung wird zur * 
Sicherung der Dal en ein Transport .schlussel verwendet. Da- 
durch wird das erfindungsgeniaBe Verfahren mit weiteren 
Sichcrheilsmechanismen ausgcstaltet. 

Weitcre vorteilhaftc Ausgestaltungen sind in den Unter- 
anspruchen vviedcrgegeben. 

Der ProzeB des Einlesens von personenbezogenen Daten 
insbesondere von Authentikationsdaten - in cine Hardwa- 
reeinheii wird als Pcrsonalisicrung be/eichnct. 

Typischervveise werden wahrend der Personalisicrung ne- 
ben den Authentikationsdaten weitcre Daten, zum Bcispicl 
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Namen, spezielle Seriennummem oder ahnliches, eingele- 
sen. Ferner ist die elektrische Person alisierung oft mit der 
optischen Personalisierung (Aufdruck von Namen, Fotos 
oder ahnlichem) verknupft. 

Die Hardwareeinheit weist wenigstens einen privaten 5 
Schliissel auf. Beim vorliegenden Verfahren zum Einbrin- 
gen von Authentikationsdaten in die Hardwareeinheit wer- 
den die Authentikationsdaten auBerhalb der Hardwareein- 
heit niit dem offentlichen Schliissel aus der Hardwareeinheit 
auBerhalb derselbigen verschliisselt. AnschlieBend werden 10 
die mit dem offendichen Schlusscl verschlusselten Authen- 
tikationsdaten auf die Hardwareeinheit iibertragen bzw. in 
selbige eingelesen und dort mit dem in der Hardwareeinheit 
gespeicherten geheimen Schliissel entschliisselt. 

Es gibt sornit eine Rollentrennung zwischen der persona- 15 
lisierenden S telle und derjenigen S telle, die uber den Au- 
thentikationsdatensatz verfugt bzw. ihn erstellt. Die perso- 
nalisierende S telle wird ais Personalisierungsstelle bezeich- 
net. Die S telle, die uber die Authentikationsdaten verfugt, 
wird als Trusted Party bezeichnet. 20 

Folgende Szenerien im Zusammenspiel mit Personalisie- 
rungsstelle und Trusted Party sind typiseh. Die Personalisie- 
rungsstelle wird von einem Chipkarten-Hersteller betrieben. 
Die Trusted Party ist ein Trust-Center bzw. eine Zertifizie- 
rungsstcllc. Die privaten Schlusscl. werden auf den Chipkar- 25 
ten des Chipkarten-Herstellers erzeugt. und gespeichert. Das 
Trust- Center beliefert. die Personalisierungsstelle des Kar- 
tenherstellers mit den Authentikationsdaten. 

Die Personalisierungsstelle kann auch eine - erweiterte - 
Registrierungsstelle sein, wo ein ICunde bzw. Benutzer eine 30 
Chipkarte mit privaten Schlusseln und den zugehorigen Zer- 
tifikaten beantragt. Die Trusted Party ist. wiederum ein 
Trust- Center bzw. eine Zerl.ifizierungssl.elle, die der Regi- 
strierungsstelle die Authentikationsdaten zum Einlesen in 
die Chipkarte liefert. 35 

Eine dritte Variante besteht darin, daB sowolil die Perso- 
nalisierungsstelle als auch die Trusted Party durch ein Trust- 
Center betrieben werden, das intern die Rollen Personalisie- 
rungsstelle und Trusted Party trennt. 

Unabhiingig von dem vorgegebenen Szenario ist. mit dem 40 
erfrndungsgemaBen Verfahren gewahrleistet, daB die Au- 
thentikationsdaten keiner dritten unerwunschten Person zur 
Verfiigung stehen oder in seine Hande gelangen. Es ist sornit 
ein groBtmogliches MaB an Sicherheit fur die Geheimhai- 
tung des Authentikationsdatensatzes gewahrleistet. Da die 45 
Authentikationsdaten mit dem offentlichen Schliissel der 
Hardwareeinheit. verschliisselt. werden und sich der zum 
Entschliisseln notwendige private Schliissel nur in der Hard- 
wareeinheit befindet, konnen die Authentikationsdaten nur 
in der Hardwareeinheit entschliisselt. werden. Aufgruncl der 50 
intern en Mechanisinen der Hardwareeinheit. kann der pri- 
vate Schliissel der Hardwareeinheit nur von den Personen 
genurzt werden, die uber die Trusted Party rcchtmaBig in 
den Besitz der Authentikationsdaten gelangen. Ein Zugriff 
von unerwunschten dritten Personen auf die Authentikati- 55 
onsdaten ist nahezu unmoglich. 

Zentraler Punkt der Erlindung ist sornit die Verschlusse- 
lung der Authentikationsdaten mil dern zuvor aus der Hard- 
wareeinheit ausgelesenen offentlichen Schliissel sowie das 
Senden dieses verschlusselten Daiensat/es iiber die Perso- 60 
nalisierungsstelle an die Hardwareeinheit. Die Personalisie- 
rungsstelle liest. den oder die offentlichen Schliissel aus der 
Hardwareeinheit aus und sendel. sie an die Trusted-Party. 
Die Trusted-Party erstellt die Zertifikatc, welche die Zuge- 
horigkeit des privaten Schliissels zum entsprcchenden Be- 65 
nutzer beglaubigen. Die Authentikationsdaten werden mit. 
einem der offentlichen Schliissel, die zuvor aus der Hardwa- 
reeinheit ausgelesen wurden, von der Trusted- Party ver- 



schliisselt und in dieser verschlusselten Form an die Perso- 
nalisierungsstelle geschickt. Die Personalisierungsstelle 
liest den verschlusselten Datensatz, der in einer weiteren 
Ausgestaltung zugleich mit.demZertifikat iibersendet wird, 
in die Hardwareeinheit ein. In der Hardwareeinheit werden 
die verschlusselten Authentikationsdaten mit Hilfe des zu- 
gehorigen privaten Schliissels entschliisselt. 

Das Verfahren kann mit weiteren Sicherungsmechanis- 
men versehen werden. In einer weiteren Ausgestaltung ist 
der Einsatz eines Transportschlussels zum Ubertragen der 
Daten vorgeschen. Des weiteren kann bci der Vcrwcndung 
von Chipkarten ein kartenspezifischer Identifikationsschlus- 
sel verwendet werden. 

Als Hardwareeinheit sihd neben dem Einsatz einer Chip- 
karte auch alle anderen moglichen Ausfiihrungs forme n ei- 
ner Hardwareeinheit denkbar. PIN-Nummern und biometri- 
sche Daten, insbesondere die Abdriicke von Fingern oder 
der Augeniris, sind als Authentikationsdaten besonders ge- 
eignet. Dariiber hinaus sind aber alle anderen moglichen 
Ausfiihrungsforrnen von Authentikationsdaten fiir dieses 
Verfahren einsetzbar. 

Die Ubertragung der Authentikationsdaten kann mit alien 
bekannten offentlichen Netzen zum Verbreiten von Daten 
durchgefiihrt werden. 

Das crfindungsgcrnaBc Verfahren hat den Vortcil. daB die 
Authentikationsdaten im Sinne der Ende-Zu-Ende-Sicher- 
heit vertraulich in die Hardwareeinheit. eingelesen werden. 
Kein dritter AuBenstehender, insbesondere auch nicht die 
Personalisierungsstelle, hat die Moglichkeit, sich in den Be- 
sitz der Authentikationsdaten zu bringen, da der zum Ent- 
schliisseln notwendige private Schliissel ausschlieBlich in 
der Hardwareeinheit zur Verfiigung stent. Die Sicherheit des 
Verfahrens wird dadurch erweitert, daB sinnvollerweise der 
private- und der offentliche Schliissel in der Hardwareein- 
heit generiert werden. 

Das folgende Szeuario wird zukunftig von besonderer 
Bedeutung sein: 

- die Hardwarccinhciten sind Chipkarten. 
die Authentikationsdaten sind PINS, 

- die Trusted- Party ist ein Trust-Center oder eine Zer- 
linzierungsstelle, 

- die Personalisierungsstelle ist Teil des Trust-Centers 
oder eine Organisationseinheit eines Karl en herste Hers 
oder eine Registrierungsstelle, die die Teilnehmerd?Hen 
aufnimmt und die Chipkarten personal isiert und aus- 
gibt. 



Pat ent a nspriiche 

1. Verfahren zum Einbringen von Authentikationsda- 
ten auf cine Hardwareeinheit. die wenigstens einen pri- 
vaten Schliissel enthalt, dadurch gekennzeichnet, daB 
die auBerhalb der Hardwareeinheit vorliegenden Au- 
thentikationsdaten mit einem offentlichen Schliissel 
auBerhalb der Hardwareeinheit verschliisselt. werden 
und anschlieBend an die Hardwareeinheit ubertragen 
werden . 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB der private und der offentliche Schliissel inner- 
halb der Hardwareeinheit erzeugt werden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zcichnet, daB als Hardwareeinheit cine Chipkarte vor- 
geschen wird. 

4. Verfahren nach einem der Anspriiche 1 bis 3. da- 
durch gekennzeichnet, daB als Authentikationsdaten 
PIN-Nummern vorgesehen werden. 
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5. Verfahren nach einem der Anspruche 1 bis 3, da- 
durch gekennzeichnet, daB als Authentikationsdaten 
biometrische Daten vorgesehen werden. 

6. Verfahren nach Anspruch 5, dadurch gekennzeich- 
net, daB als biometrische Daten der Abdruck eines Fin- 5 
gers vorgesehen wird. 

7. Verfahren nach einern der Anspruche 1 bis 6, da- 
durch gekennzeichnet, daB init den Authentikationsda- 
ten ein Zertifikat iibertragen wird. 

8. Verfahren nach einem der Anspruche 1 bis 7, da- 10 
durch gekennzeichnet, daB zurSichcrung der Daten ein 
Transportschliissel verwendet wird. 

9. Verfahren nach einem der Anspruche 3 bis 8, da- 
durch gekennzeichnet., daB zur Sicherung der Daten ein 
kartenspezifischer Identifikationsschlussel verwendet 15 
wird. 
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